Lo más visto del 2011 en Hackplayers

En esta ocasión finalizamos también el año con un post con las 50 entradas de Hackplayers más vistas durante el 2011, según Google Analytics.

Como
siempre, daros las gracias por leernos y participar con vuestros comentarios, soluciones a los retos y colaboraciones. No dudéis en contactar con nosotros si estáis interesados en algún tema en particular o si queréis participar con vuestro artículo. Nos vemos en el 2012. ¡Feliz y próspero año nuevo!

1.- Blogroll en español y en inglés
2.-
LOIC: la herramienta DDoS utilizada por Anonymous
3.- Anti: el pentesting sencillo desde Android
4.- Evasión del límite de 140 caracteres de Twitter mediante codificación CESU-8
5.- Metasploit Autopwn
6.- Reto 10: averigua el patrón de desbloqueo
7.- Retos de Hackplayers
8.- Convierte tu Firefox en un keylogger invisible
9.- Reto 12: encuentra las 7 diferencias
10.-Solución al reto 3 del GP de Bahrein
11.-Puerta trasera oculta en Windows
12.-La FOCA en Linux [2 de 2]
13.-Las 10 mejores técnicas de hacking web en el 2010
14.-Mitos: el caso Tim Lloyd/Omega
15.-¿Cuál es el mejor firewall de red?
16.-Taller de lock picking #2: Técnicas de apertura
17.- Milw0rm y Inj3ct0r se fusionan en 1337db
18.-wifite - Herramienta para cracking masivo de claves WEP/WPA
19.-Taller de lock picking #1: Iniciación
20.-Taller de lock picking #3: Herramientas de ganzuado
21.-Blackbuntu Community Edition 0.1
22.-Otra campaña Zeus mediante correos de DHL falsos
23.-Recopilatorio de soluciones a retos en español
24.-Páginas ocultas "about:" en Mozilla Firefox
25.-Principios en ensamblador
26.-Probando la FOCA 3.0 en Linux
27.-Suben porno al canal YouTube de Barrio Sésamo
28.-5 interesantes proyectos de seguridad de código abierto
29.-Anonymous y Team Poison se unen contra los bancos en la Operación Robin Hood
30.-Explota inyecciones SQL fácilmente con Havij
31.-Libro: La biblia del Hacker 2009
32.-Inteco & Confianza Online pwned!
33.-Guía de Metasploitable - Episodio 2 - PostgreSQL + SSH
34.-Solución al reto 9 del crackme#1 para Android [2 de 2]
35.-Katana 2.0: suite de seguridad portable y multi-arranque
36.-Guía de Metasploitable - Episodio 1 - distccd + escalado de privilegios
37.-Reto 13: ¡examen sorpresa!
38.-Evasión de la autenticación de Dropbox
39.-killapache: consigue un DoS remoto desde un único PC
40.-El maletín del investigador forense
41.-Reto 11: ¿quién entiende a los bebés?
42.-Seguridad en switches Cisco
43.-Las personas más influyentes en seguridad informática
44.-El cazador de vulnerabilidades en aplicaciones PHP
45.-Solución al reto 6 del bebé llorón
46.-Enumeración LDAP
47.-fbpwn: ingeniería social en Facebook
48.-Solución al reto 4 de análisis de malware (una ayuda para Juanito)
49.-Metasploit + Nessus + XSSF
50.-Participa en Hackplayers

Reaver-wps: ataques de fuerza bruta contra WPS

Hace un par de días, Stefan Viehbock publicó un whitepaper detallando los fallos en la implementación de Wi-Fi Protected Setup (WPS) que podrían permitir a un atacante realizar un ataque de fuerza bruta para probar todas las combinaciones de PIN posibles con el objetivo de obtener una contraseña WPA/WPA2 en cuestión de horas.

Los fallos de implementación residen en que:

1. la opción de Registro Externo no requiere ningún tipo de autenticación a parte de proveer el PIN correspondiente.

2. el router valida en PIN en dos partes: responde inmediatamente (mensaje EAP-NACK) si los 4 primeros dígitos del PIN son erróneos, y después hace lo propio con los 3 siguientes (el último dígito es un checksum). Esto reduce significativamente las posibles combinaciones: 10^4 (10,000) y 10^3 (1,000) respectivamente

Ahora que está vulnerabilidad se ha echo pública, Tactical Network Solutions LLC (TNS) ha decidido además publicar la herramienta open source Reaver (http://code.google.com/p/reaver-wps), una herramienta que han ido probando y perfeccionando desde hace casi un año.

Detección de web shells con NeoPI y técnicas de evasión

Hoy en día, muchas aplicaciones web se desarrollan utilizando lenguajes de scripting como PHP, Python, Ruby, Perl, etc. Estos lenguajes pueden ser lo suficientemente complicados para que un pequeño fallo pueda llegar a permitir la ejecución de código arbitrario en el servidor.

Cuando una de estas condiciones es identificada por un atacante, casi con total seguridad intentará subir un web shell para mantener el acceso al servidor comprometido, permitiendo normalmente la ejecución de comandos del sistema y el acceso a archivos.

Pero, ¿cómo detectar el código de estos backdoors en un servidor con cientos o quizás miles de páginas?

Si la shell no está ofuscada, podremos realizar una búsqueda rápida en base a una serie de patrones aunque, eso sí, obtendremos numerosos falsos positivos. Por ejemplo encontraríamos la mítica C99 con:

grep -RPn "(system|phpinfo|pcntl_exec|python_eval|base64_decode|gzip|mkdir|fopen|fclose|readfile|passthru)" /pathto/webdir/

Otra opción sería utilizar herramientas basadas en firmas como Linux Malware Detect (LMD), que encontrará algunas de las más típicas web shells. Sin embargo, ¿cómo detectaríamos aquellas shells que hayan sido modificadas/ofuscadas para ocultarse?

Para ello podemos utilizar NeoPI, un script en Python que utiliza varios métodos estadísticos para descubrir este tipo de contenido ofuscado o cifrado dentro de scripts y ficheros de texto.

Nuevo 0-day en Windows 7 causa un pantallazo rojo

Al igual que ya ocurrió con Duqu hará ya más de dos meses, el grupo de hackers polaco R4nd0m ha publicado el código de lo que sería una nueva vulnerabilidad de tipo 0-day que afecta al kernel de Windows 7 y que provoca la parada del sistema afectado.

El exploit, escrito en C y en menos de 200 líneas, se aprovecha de un fallo en el API de la librería shlwapi.dll (Shell Lightweight Utility Functions) y causa un pantallazo rojo (RSoD o Red Screen of Death).

Lo sorprendente es que el rojo no se utilizaba desde versiones preliminares de Windows 98 y Vista (Windows 8 utilizará el negro para sus pantallazos de la muerte), aunque recordemos que cualquiera podría cambiarlo con programas como NotMyFault.

El código del exploit está disponible aquí.

Caras "cachondas" en el chat de Facebook

¿Usas el chat de Facebook para comunicarte con tus conocidos?, ¿tienes algún colega que piensas que es un poco troll?. Gracias a reddit ahora es tu oportunidad de expresarte más gráficamente con estas nuevas caras, simplemente pega en la ventana del chat el código numérico entre corchetes:

Troll face [[171108522930776]]

ARE YOU F*CKING KIDDING ME [[143220739082110]]
Not bad Obama [[169919399735055]]
Me Gusta [[211782832186415]]
Mother of God [[142670085793927]]
Cereal Guy [[170815706323196]]
LOL Face [[168456309878025]]
NO Guy [[167359756658519]]
Yao Ming [[218595638164996]]
Derp [[224812970902314]]
Derpina [[192644604154319]]
Forever Alone [[177903015598419]]
Not Bad [[NotBaad]]
Fuck yeah [[105387672833401]]
Challange accepted: [[100002727365206]]

Solución al reto 14 del crackme#2 para Android

Nuestro segundo crackme para Android (y último reto del año) consistía en evadir la implementación del proceso de licenciamiento de Android o Android License Verification Library (ALVL). La aplicación era muy sencilla pero, eso sí, tenía alguna trampa ;)

El ganador del reto, Jose Ayerdis (Necronet) de Nicaragua, ha publicado un completo solucionario en
su blog , que recomendamos que visitéis para ver más tips adicionales y otros interesantes artículos.

También quería dar las gracias a todos los que habéis intentado solucionar el reto. Por último, os dejo con el procedimiento seguido por Necronet:

Descarga el APKTool

El apktool es una herramienta maravillosa, si te quieres hacer de esto de cracking aplicaciones android el apktool es un fiel compañero, permite realiza muchas cosas entre ellas:
  • Extraer y decompilar fuentes de empaquetados Android(apktool), esto incluye recursos(res), manifiesto(AndroidManifest), y fuentes decompiladas.
  • Recompilar dichas fuentes y volverlas a empaquetar.
  • Depurar código decompilado backsmali.

Libro: Gray Hat Python: Programación en Python para hacking e ingeniería inversa

Python se está convirtiendo en el lenguaje de programación elegido por muchos que se dedican al hacking, a la ingeniería inversa y a probar software. La razón principal es que es fácil y rápido de escribir, soporta bajo nivel y tiene bibliotecas que nos hacen felices.

Ya no tendremos que buscar siempre en foros y manuales, Gray Hat Python muestra el uso de Python para una amplia variedad de tareas de hacking. Este libro explica los conceptos detrás de las herramientas de hacking y las técnicas con depuradores, troyanos, fuzzers y emuladores. Pero el autor, Justin Seitz, va más allá de la teoría mostrando cómo aprovechar las herramientas existentes de seguridad basadas en Python - y cómo construir las tuyas propias cuando lo necesites.

Leyendo este libro aprenderas a:
  • Automatizar las tediosas tareas de ingeniería inversa y seguridad
  • Diseñar y programar tu propio depurador
  • Fuzzear drivers de Windows y a crear potentes fuzzers desde el principio
  • Divertirte con la inyección de código y librerías, técnicas de soft y hard hooking y otros trucos con software
  • Esnifar tráfico seguro de sesión web cifrada
  • Usar PyDBG, Immunity Debugger, Sulley, IDAPython, PyEMU y más

Las peores 25 contraseñas del 2011

SplashData crea anualmente una lista con las peores contraseñas del año basándose en la recolección de las contraseñas que los crackers postean online. Este año son las siguientes:

1. password

2. 123456

3.12345678

4. qwerty

5. abc123

6. monkey
7. 1234567

8. letmein

9. trustno1

10. dragon

11. baseball

12. 111111

Windows 8 incluirá contraseñas mediante gestos en imágenes

Microsoft está trabajando en la integración de las contraseñas en imágenes en su próximo sistema operativo Windows 8.

El objetivo de los desarrolladores "fue la creación de una forma rápida y fluida de inicio de sesión muy personal, por lo que decidieron que los usuarios podrían utilizar una imagen de su colección de fotografías".


Una vez que que se elige la imagen, se pide a los usuarios que dibujen tres gestos dentro de ella (círculos, líneas o trazas), que luego tendrán que recordar y reproducir con el fin de iniciar sesión.

"Cuando se dibuja un círculo o una línea en la imagen seleccionada, Windows recuerda cómo lo hizo", explicó el desarrollador Steven Sinofsky. "Por lo tanto, alguien que trata de reproducir la contraseña en la imagen debe no sólo conocer las partes de la imagen que puso y el orden en que lo hizo, sino también la dirección y los puntos inicial y final de los círculos y las líneas que ha dibujado".

Disponible material de la Ruxcon


Hoy (por fin) viernes os dejamos unas interesantes lecturas para el fin de semana. Se trata del material de la conferencia Ruxcon que tuvo lugar el pasado 19 y 20 de noviembre en Melvourne, Australia.

Saturday and Sunday Presentations

Reto 14: Android crackme#2

El siguiente reto es nuestro segundo crackme en Android. En esta ocasión se trata de una simple aplicación que utiliza Android License Verification Library (ALVL) para determinar si existe la licencia para el usuario y el terminal específicos a través de una consulta al servidor de licenciamiento del AndroidMarket.

El objetivo es parchear la aplicación para que evada este mecanismo. El paquete apk podéis descargarlo desde aquí.

Si lo conseguís, mandarnos el apk parcheado y el procedimiento seguido a nuestra cuenta de correo:


¡Ánimo a todos, el reto es sumamente sencillo!

Recopilatorio de herramientas de esteganografía y estegoanálisis

Gracias a un paper de Pedram Hayati podemos recopilar hasta un total de 111 herramientas de esteganografía y estegoanálisis clasificadas por categorías.

Según su autor, el estudio se realizó desde un perspectiva forense para identificar qué herramientas están disponibles en Internet y cuáles de ellas podrían ser utilizadas por organizaciones terroristas. Sea como fuere, es un excelente recurso para tener siempre a mano un listado de estas herramientas:

Herramientas de esteganografía en imágenes con código fuente disponible

Steganographic
Tools
JPEG BMP Others Embedding
Aproach
Production
Blindside
Yes
SDS Yes
Camera Shy Yes

SDS Yes
dc-Steganograph

PCX TDS
F5 Yes Yes GIF TDS Yes
Gif Shuffle

GIF Change
the order of the color map
Yes
Hide4PGP
Yes
SDS Yes
JP Hide and
Seek
Yes

SDS Yes
Jsteg Jpeg Yes

SDS Yes
Mandelsteg

GIF SDS Yes
OutGuess Yes
PNG TDS Yes
PGM Stealth

PGM
Yes
Steghide
Yes
SDS Yes
wbStego
Yes
SDS Yes
WnStorm

PCX
Yes
SYND(E)Yes


SDS
Yes

TDS - Transform Domain Steganography
SDS - Spatial Domain Steganography (LSB Replacement and LSB Matching)

Resultados del I Reto Forense Digital Sudamericano de ISSA Perú

Ya se han publicado los resultados del I Reto Forense Digital Sudamericano – Perú Chavín de Huantar: http://issaperu.org/?p=538

Nuestra más sincera enhorabuena a los ganadores Henry Sánchez (aka g05u) y Daniel Correa (sinfocol.org). Los dos tienen una amplia experiencia en wargames e incluso ya conocía a Daniel por participar y ganar algunos de nuestros retos. Ambos presentaron unos informes excelentes que podéis descargar junto con los de los segundos y terceros clasificados:

Primer Puesto : Henry Sánchez – Daniel Correa – Perú / Colombia

Informe Ejecutivo: http://www.mediafire.com/?lvbu9bagr0uczso

Informe Técnico: http://www.mediafire.com/?bev78robcbu8u21

Segundo Puesto : Raúl A. Iriberri – Argentina

Informe Ejecutivo: http://www.mediafire.com/?fjl32pybshq6qbo

Informe Técnico: http://www.mediafire.com/?i1d3ghk6d4wc57m

Tercer Puesto : Gabriel Lazo Canazas – Roberto Contreras Diestra – Carlos Luis Vidal – Michael Ocrospoma Heraud – Perú

Informe Ejecutivo: http://www.mediafire.com/?ewc7yac8pcycuuc

Informe Técnico: http://www.mediafire.com/?cpk02r3lcrqyiin


Como miembro del jurado quiero felicitar también al resto de participantes, que han hecho unos trabajos impresionantes y nos han puesto tan difícil la elección. Tengo que decir que todos los informes presentados podrían exponerse como ejemplos educativos para la realización de un informe forense.

Por último, quería agradecer a Roberto Puyo Valladares y al resto de organizadores del reto la oportunidad de partipación facilitada. Ha sido un verdadero placer colaborar con ustedes.

Google+ incorpora reconocimiento facial en las fotos

EUROPA PRESS. Google+ ha comenzado a ofrecer la nueva aplicación 'Find my face', capaz de reconocer caras en las fotos subidas a la red social, lo que facilita el etiquetado de fotos. La opción aparecerá en la página de forma progresiva en diferentes países.

Es una aplicación fácil de utilizar, pensada para facilitar el etiquetado de fotografías. Cada usuario debe autorizar de forma explícita y personal el reconocimiento de su rostro en las fotografías. De esta forma, cuando uno de nuestros amigos suba una fotografía a Google+, el sistema le sugerirá que nos etiquete.

Este tipo de tecnologías suele despertar conflictos de privacidad, por los que Google ha prestado especial cuidado en la aceptación y autorización del servicio y la transparencia de su uso.

OccupyOS: el SO diseñado para activistas

OccupyOS es una distribución de Linux basada en Gentoo e inspirada en el movimiento Occupy Wall Street, orientada a activistas y diseñada para proveer un entorno seguro para editar y publicar documentos, navegar por la web (administrar sitios, Twitter y páginas de Facebook) y establecer comunicaciones seguras entre el usuario y otros activistas e Internet.

Todavía está en desarrollo y no se ha publicado un versión oficial estable, pero ya es posible descargar una interesante beta que incluye navegación anónima (Tor o VPNs), chat de voz y conferencia cifrados (Mumble), mensajería instantánea cifrada (Pidgin-OTR y Xchat-OTR), edición de imágenes (Gimp) y herramientas para el borrado seguro del disco.

Web del proyecto: http://wiki.gitbrew.org/wikibrew/OccupyOS

Solucionario al reto de la GCHQ CanYouCrackIt

Si recordáis, la agencia británica de inteligencia GCHQ publicó y difundió en las redes sociales un reto disponible en canyoucrackit.co.uk con el objetivo de captar nuevos talentos.

Tras unos "problemillas" con las búsquedas de Google y un mes más tarde de su publicación, un estudiante de la Universidad de Greenwich ha publicado varios vídeos explicando su solución.

Como veréis el rompecabezas tiene tres etapas y no era para nada simple:

Exposición de claves del API de Google Translate

A partir de hoy 1 de diciembre y desafortunadamente, la versión 2 del API de Google Translate se ha convertido definitivamente en un servicio de pago.

Esto significa que si tienes una aplicación que automáticamente traduce textos de un lenguaje a otro mediante el API de Google necesitarás obligatoriamente generar y utilizar una clave (API key) mediante una cuenta de Google y pagar según los precios y términos del servicio establecidos.

El "problema" es que Google Translate usa normalmente JavaScript y el código es visible para todo el mundo simplemente viendo el código HTML de la página. Por ejemplo:

var source = 'https://www.googleapis.com/language/translate/v2?key=INSERT-YOUR-KEY&source=en&target=de&callback=translateText&q=' + sourceText; newScript.src = source;

El riesgo es evidente, la clave está expuesta a todos y cualquiera puede reutilizarla en otro sitio, con los consiguientes cargos para su dueño.

La solución, comentada también por Google, es utilizar proxies inversos u otro código que llame a Google Translate desde el lado del servidor. Pero, ¿cuantos usuarios lo llevaran a cabo?, ¿cuantas claves están expuestas?, ¿cuantas?...